XVIII Legislatura

Commissioni Riunite (I e IX)

Resoconto stenografico



Seduta n. 3 di Giovedì 10 ottobre 2019

INDICE

Sulla pubblicità dei lavori:
De Lorenzis Diego , Presidente ... 3 

Audizione della Ministra per l'innovazione tecnologica e la digitalizzazione, Paola Pisano, nell'ambito dell'esame del disegno di legge C. 2100, di conversione del decreto-legge 21 settembre 2019, n. 105, recante «Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica» (ai sensi dell'articolo 143, comma 2, del Regolamento della Camera dei deputati) :
De Lorenzis Diego , Presidente ... 3 
Pisano Paola , Ministra per l'innovazione tecnologica e la digitalizzazione ... 3 
De Lorenzis Diego , Presidente ... 4 
Bruno Bossio Vincenza (PD)  ... 4 
Stumpo Nicola (LeU)  ... 5 
Capitanio Massimiliano (LEGA)  ... 5 
De Lorenzis Diego , Presidente ... 5 
Pisano Paola , Ministra per l'innovazione tecnologica e la digitalizzazione ... 5 
De Lorenzis Diego , Presidente ... 6

Sigle dei gruppi parlamentari:
MoVimento 5 Stelle: M5S;
Lega - Salvini Premier: Lega;
Forza Italia - Berlusconi Presidente: FI;
Partito Democratico: PD;
Fratelli d'Italia: FdI;
Italia Viva: IV;
Liberi e Uguali: LeU;
Misto: Misto;
Misto-Cambiamo!-10 Volte Meglio: Misto-C10VM;
Misto-Minoranze Linguistiche: Misto-Min.Ling.;
Misto-Noi con l'Italia-USEI: Misto-NcI-USEI;
Misto-+Europa-Centro Democratico: Misto-+E-CD;
Misto-MAIE - Movimento Associativo Italiani all'Estero: Misto-MAIE.

Testo del resoconto stenografico

PRESIDENZA DEL VICEPRESIDENTE
DELLA IX COMMISSIONE
DELLA CAMERA DEI DEPUTATI
DIEGO DE LORENZIS

  La seduta comincia alle 9.10.

Sulla pubblicità dei lavori.

  PRESIDENTE. Avverto che la pubblicità dei lavori della seduta odierna sarà assicurata, oltre che attraverso l'attivazione di impianti audiovisivi a circuito chiuso, anche mediante la trasmissione diretta sulla web-tv della Camera dei deputati.

Audizione della Ministra per l'innovazione tecnologica e la digitalizzazione, Paola Pisano, nell'ambito dell'esame del disegno di legge C. 2100, di conversione del decreto-legge 21 settembre 2019, n. 105, recante «Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica».

  PRESIDENTE. L'ordine del giorno reca l'audizione, ai sensi dell'articolo 143, comma 2, del Regolamento della Camera dei deputati, della Ministra per l'innovazione tecnologica e la digitalizzazione, Paola Pisano, nell'ambito dell'esame del disegno di legge C. 2100, di conversione del decreto-legge 21 settembre 2019, n. 105, recante «Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica».
  Do la parola alla Ministra per lo svolgimento della sua relazione introduttiva.

  PAOLA PISANO, Ministra per l'innovazione tecnologica e la digitalizzazione. Buongiorno a tutti. Ringrazio la Commissione e il Presidente per l'opportunità che mi viene offerta di intervenire su un tema così importante come la sicurezza delle informazioni, in particolare in merito alla definizione del perimetro di sicurezza nazionale cibernetica. Questo significativo intervento normativo, fortemente voluto dall'Unione europea, dalla Presidenza del Consiglio e dal comparto intelligence, rappresenta un'importante avanzata forma di tutela per la sicurezza nazionale. Tale iniziativa costituisce la sfida più importante per la protezione degli interessi nazionali contro le minacce di attacchi informatici, oggi sempre più frequenti e ostili nei confronti di Paesi industrializzati come l'Italia. L'innovazione in tutti i campi oggi non può ovviamente prescindere dalla possibilità di sviluppare senza compromessi la dovuta attenzione per la sicurezza delle informazioni e la tutela della privacy dei dati personali. Sicurezza e privacy sono alla base dello sviluppo tecnologico di un Paese industrializzato che tutela i diritti fondamentali dei cittadini, nell'interesse delle imprese. Non ci può essere sviluppo e non ci può essere innovazione se non c'è all'interno del Paese la gestione della sicurezza e la gestione della privacy. Il lavoro fin qui svolto dall'Agenzia per l'Italia digitale tramite il CERT-PA, nella gestione degli incidenti di sicurezza informatica e nella definizione delle raccomandazioni, delle strategie e delle norme tecniche per sensibilizzare e informare le Amministrazioni, ha gettato le basi che ci consentiranno di introdurre strumenti e pratiche innovativi al fine di sviluppare e supportare le amministrazioni nella messa in sicurezza di servizi e di dati dei cittadini e delle imprese. Il nascente Dipartimento della trasformazione digitale si preoccuperà di adempiere con la massima cura e attenzione ai compiti che la normativa ci affida. In particolare, Pag. 4 come primo punto, continueremo a sviluppare la consapevolezza dei rischi legati alla sicurezza delle informazioni nelle amministrazioni, condividendo le buone pratiche ed elaborando le necessarie misure di sicurezza da adottare in ambito pubblico. Secondo punto: raccoglieremo le informazioni relative alle reti, ai sistemi informativi e ai servizi informatici delle amministrazioni al fine di informare il Dipartimento delle informazioni per la sicurezza sulle infrastrutture digitali che sono esposte a rischio. Terzo punto: adotteremo strumenti tecnologici innovativi per raccogliere e gestire le notifiche di incidenti aventi impatto sulle reti, sui sistemi informativi e sui servizi informatici dei soggetti pubblici. Quarto punto: incoraggeremo la diffusione delle pratiche di valutazione e trattamento del rischio. Quinto punto: lavoreremo congiuntamente al centro di valutazione e certificazione del MISE e al centro di valutazione del Ministero della difesa per intervenire nel caso di mancata collaborazione dei fornitori di tecnologie alle attività di test previste dalla normativa in relazione alle forniture di prodotti e servizi ICT, destinati a soggetti pubblici all'interno del perimetro della sicurezza nazionale. Ultimo punto: collaboreremo, infine, nelle attività ispettive di verifica e di adozione di eventuali conseguenti prescrizioni, mettendo in campo tutte le risorse e le molteplici competenze di cui disponiamo.
  Siamo certi che il profilo tecnico e la vocazione fortemente interdisciplinare che caratterizzano la complessiva attività del Dipartimento della trasformazione digitale consentiranno di offrire un valido supporto per la realizzazione delle attività delegate sul perimetro di sicurezza. Ferma restando ovviamente la possibilità, prevista dal decreto-legge, di avvalersi dell'Agenzia per l'Italia digitale per lo sviluppo delle funzioni attinenti al perimetro di sicurezza cibernetica, riteniamo utile ridefinire alcune competenze di dettaglio dell'Agenzia in materia, ridistribuendole sul nascente Dipartimento, anche in funzione della caratteristica di struttura altamente tecnica che si intende dare a quest'ultimo.

  PRESIDENTE. Nel ringraziare la Ministra Pisano, do la parola ai deputati che intendano porre quesiti o formulare osservazioni.

  VINCENZA BRUNO BOSSIO. Ringrazio la Ministra. Spero che avremo poi occasione di incontrarci anche per affrontare le questioni più complessive dell'innovazione digitale. Ieri, nell'ambito della IX Commissione, abbiamo ascoltato il Ministro dello sviluppo economico sulle linee programmatiche, constatando che le idee e le proposte sono tante. Il tema dell'innovazione è un tema da sistema Paese, quindi la Ministra per l'innovazione tecnologica e la digitalizzazione non può essere ovviamente scollegata da questo straordinario progetto. La discussione di questa mattina, che segue quella svolta per l'audizione dell'AgID, sta all'interno di questo ragionamento, soprattutto per quel che riguarda la privacy. Abbiamo audito tantissimi soggetti e uno dei temi principali che ci hanno posto – soprattutto gli operatori – riguarda la preoccupazione di sovrapposizioni, di lentezze, di ritardi; si è parlato addirittura di eventuali notifiche che rischiano di arrivare quando un lavoro è già molto avanti. Infatti, il fatto di tornare indietro nelle procedure comporta costi, ma anche ritardi. Allora, vorrei affrontare una questione specifica che riguarda la governance del Ministero per l'innovazione tecnologica e la digitalizzazione e dell'AgID. Mi sembra di capire, per come lei l'ha detto, che le attività svolte dal CERT-PA, come l'elaborazione delle linee guida, vengono ereditate dal Dipartimento della trasformazione digitale, che, evidentemente, si dovrà organizzare. Un conto è che questa attività la svolga un'agenzia, per quanto pubblica e collegata al Ministero, un altro conto è che la svolga direttamente il Dipartimento. Nell'ipotesi che l'AgID sia inserita – mi sembrava che fosse questa l'idea della governance, che prevede anche l'istituzione di Pago PA come S.p.A. – presso la Presidenza del Consiglio dei ministri e, in particolare, nell'ambito del Ministero per l'innovazione tecnologica e la digitalizzazione, quale sarà il ruolo di AgID in questo contesto? Non esisterà più AgID? Questa è la Pag. 5domanda. Verrà assorbita dal Dipartimento oppure continuerà ad esistere come Agenzia? Anche rispetto a questo decreto-legge in materia di sicurezza cibernetica, che ruolo dovrà svolgere? Sono domande che ci hanno posto anche altri interlocutori, quindi sarebbe interessante ricevere una risposta.

  NICOLA STUMPO. Innanzitutto, saluto la Ministra e manifesto il mio orientamento favorevole alla nascita del Ministero. Si tratta di un ruolo che ritengo strategico. Infatti, per troppi anni abbiamo tralasciato tale settore. Per troppo tempo l'Italia è rimasta agganciata ad altri, come abbiamo appreso dalla lettura dei giornali, con la guerra tra le due grandi superpotenze. Il fatto che oggi si debba discutere di sicurezza, dimostra che la nostra sicurezza è demandata ad altri. Possiamo trasformare l'Agenzia, possiamo fare altre cose, ma il tema vero è l'assenza di una infrastruttura in Italia che possa garantire la nostra riservatezza dei dati. Allora la mia domanda è questa: la nascita del Ministero – quindi non di un'agenzia esternalizzata – e il fatto di porre il tema come centrale possono portare a fare di questo decreto il primo passaggio per la costruzione di un modello, realizzando un'infrastruttura che possa garantire ai cittadini, alle imprese e alla pubblica amministrazione italiana che i nostri dati siano in possesso degli italiani e non di altri?

  MASSIMILIANO CAPITANIO. Sarò telegrafico anche perché a breve inizieranno i lavori in Assemblea. Ringrazio la Ministra per la presenza; sicuramente avremo modo di approfondire le diverse tematiche. Mi riallaccio all'ultimo discorso del collega Stumpo; la legge europea 2017, di fatto, consentiva, con due articoli, la cessione di molti dati sanitari, seppur anonimizzati, alle multinazionali per fini di ricerca scientifica. Quindi, volevo capire quale fossero eventualmente gli indirizzi del nuovo Ministero in relazione a questo tema. Credo che ci rivedremo in Commissione per affrontare il tema della gestione dei dati, attraverso la creazione di un nuovo Cloud; in quella sede capiremo le indicazioni della Ministra sul tema.

  PRESIDENTE. Ricordo che la Ministra verrà in audizione la prossima settimana per illustrare le linee programmatiche; quindi sarà più opportuno affrontare compiutamente in quella sede gli argomenti che fuoriescono dall'oggetto del decreto-legge in esame. Do quindi la parola alla Ministra Pisano per la replica.

  PAOLA PISANO, Ministra per l'innovazione tecnologica e la digitalizzazione. Vi ringrazio per le domande, tutte molto interessanti. Rispetto ad AgID, ad oggi assorbiamo le sue competenze all'interno del Dipartimento e, quindi, ci avvarremo anche del suo personale tecnico su questa tematica. Ovviamente, noi, al nostro interno, abbiamo degli esperti che si occupano già di cyber-security – uno lo vedete di fianco a me, che lavora sul tema, ed è molto competente – fermo restando che noi ci appoggeremo ad AgID qualora avessimo necessità di avvalerci di altre competenze, che oggi sono al suo interno. AgID in questo momento è sotto il perimetro di questo neonato Dipartimento; quello che stiamo facendo è un assessment all'interno dell'ente per capire quali sono le criticità, quali sono le competenze che l'ente ad oggi ha sviluppato, al fine di vedere poi quale sarà l'eventuale evoluzione. Quindi, allo stato attuale, siamo in una fase di studio; lo studio e l’assessment finiranno il 30 ottobre. Ad oggi il nostro ruolo è di impulso e di coordinamento, per cui quello che noi cerchiamo di fare – ed è proprio nella missione del nostro Ministero – è di creare un raccordo, un indirizzo, un coordinamento e poi un monitoraggio di tutto ciò che riguarda l'innovazione, anche sulla tematica della privacy. Quindi, al momento, il nostro ruolo è proprio quello di riuscire a coordinare questa tematica e creare una politica comune su determinati temi: sia sul tema della privacy sia su altri temi dell'innovazione, che oggi spesso vengono trattati nei vari Ministeri. Ovviamente, la privacy è importante all'interno di qualunque attività svolta da un soggetto pubblico Pag. 6o da un soggetto privato. Mi chiedete come ci comporteremo nei riguardi dei dati dei cittadini; ebbene, il nostro obiettivo principale è quello della tutela dei dati dei cittadini. Ora, ci vuole anche un bilanciamento, perché bisogna ovviamente tenere in considerazione anche le richieste della ricerca, però l'obiettivo principale della pubblica amministrazione è la tutela dei dati del cittadino; e così ci muoveremo.

  PRESIDENTE. Ringrazio la Ministra Pisano e dichiaro conclusa l'audizione.

  La seduta termina alle 9.30.